Добрый день. При старте рабочего стола открывается EDGE со страницей воркноХру или елсерХру.
Спасибо
Добрый день. При старте рабочего стола открывается EDGE со страницей воркноХру или елсерХру.
Спасибо
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) _MVZ_, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Не совсем понял, что Вас посетило, но вот рецепт
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\nikza\AppData\Local\Hostinstaller\1919305284_installcube.exe',''); QuarantineFile('C:\Users\nikza\AppData\Roaming\FreeVPN\FreeVPN.exe',''); QuarantineFile('C:\Users\nikza\AppData\Local\PPTAssist\notify.exe',''); QuarantineFile('C:\Users\nikza\AppData\Local\PPTAssist\assistupdate.exe',''); QuarantineFile('C:\Users\nikza\AppData\Roaming\Media-Assistant\Updater.exe',''); SetServiceStart('netfilter2', 4); DeleteService('netfilter2'); SetServiceStart('CppWindowsService', 4); DeleteService('CppWindowsService'); QuarantineFile('C:\WINDOWS\system32\drivers\netfilter2.sys',''); TerminateProcessByName('C:\Program Files (x86)\filter\2\PFHttpContentFilter.exe'); QuarantineFile('C:\Program Files (x86)\filter\2\PFHttpContentFilter.exe',''); TerminateProcessByName('c:\program files (x86)\filter\2\cppwindowsservice.exe'); QuarantineFile('c:\program files (x86)\filter\2\cppwindowsservice.exe',''); DeleteFile('c:\program files (x86)\filter\2\cppwindowsservice.exe','32'); DeleteFile('C:\Program Files (x86)\filter\2\PFHttpContentFilter.exe','32'); DeleteFile('C:\WINDOWS\system32\drivers\netfilter2.sys','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','anuynmdkkm'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Uninstall C:\Users\nikza\AppData\Local\Microsoft\OneDrive\17.3.6302.0225_1\amd64'); DeleteFile('C:\Users\nikza\AppData\Local\PPTAssist\notify.exe','32'); DeleteFile('C:\Users\nikza\AppData\Local\PPTAssist\assistupdate.exe','32'); DeleteFile('C:\WINDOWS\Tasks\PPTAssistantUpdateTask_Salut.job','32'); DeleteFile('C:\WINDOWS\Tasks\PPTAssistantNotifyTask_Salut.job','32'); DeleteFile('C:\WINDOWS\Tasks\{46CDEDA7-83A8-D179-7CAF-0E70CCAE9663}.job','32'); DeleteFile('C:\Program Files (x86)\QQBrowser\Update\EF27F2FF129FB0B6C7C841A449C87A6B\Update\BrowserUpdate.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Browser Updater Task(Core)','64'); DeleteFile('C:\Users\nikza\AppData\Roaming\FreeVPN\FreeVPN.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Soft installer','64'); DeleteFile('C:\Users\nikza\AppData\Local\Hostinstaller\1919305284_installcube.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\{46CDEDA7-83A8-D179-7CAF-0E70CCAE9663}','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин отправил ссылкой сверху. И новые логи здесь.
А проблема была в том, что при входе в винду10 сам запускался МСэдж (заменитель IE), который открывал липовый поисковик, и с которого выйти уже было непросто (при закрытии вкладки открывались одна...две новых с рекламой или сасино).
Последний раз редактировалось _MVZ_; 02.08.2016 в 21:30. Причина: орфография
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
FRST.txt и Addition.txt
Последний раз редактировалось _MVZ_; 02.08.2016 в 23:27.
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: HKU\S-1-5-21-904423286-2706299825-3962582342-1001\...\Run: [632F675A-F047-47E9-B7A7-D429E6713832] => "C:\Users\nikza\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\632F675A-F047-47E9-B7A7-D429E6713832\686B1D06-44D4-45F5-9AD3-11A73A49A93C.exe" --getupdate-npapi-plugin HKLM\...\Policies\Explorer\Run: [632F675A-F047-47E9-B7A7-D429E6713832] => C:\Users\nikza\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\632F675A-F047-47E9-B7A7-D429E6713832\686B1D06-44D4-45F5-9AD3-11A73A49A93C.exe BHO-x32: No Name -> {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} -> No File Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - No File CHR StartupUrls: Profile 1 -> "hxxp://www.hohosearch.com/?mode=nnnb&ptid=isr&uid=EF27F2FF129FB0B6C7C841A449C87A6B&v=20160409&ts=AHEqA3AkB3QqAU..","hxxp://mail.ru/cnt/10445?gp=820479","hxxp://www.rambler.ru/","hxxp://mail.ru/cnt/10445?gp=821647","hxxp://mail.ru/cnt/10445?gp=811009","hxxp://mail.ru/cnt/10445?gp=811040" CHR HKU\S-1-5-21-904423286-2706299825-3962582342-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-904423286-2706299825-3962582342-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [holihdldfgekmjfdhdinpfjbfnhcphia] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-904423286-2706299825-3962582342-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-904423286-2706299825-3962582342-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ahkmpjnmnhjkpkacdhkliipnncobgkhk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bhbldcgbjblipegbeclmcnnddnopnhjm] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [fbkdlibjhnblcbjjecnlpkldhbkedfhj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ipjjmoaaiokdonnldckdhmhojapklmdi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx OPR Extension: (SuperMegaBest - find best prices) - C:\Users\nikza\AppData\Roaming\Opera Software\Opera Stable\Extensions\cbbpicnbcjaeeenbmilcnaojfgnmlhhb [2016-05-06] OPR Extension: (No Name) - C:\Users\nikza\AppData\Roaming\Opera Software\Opera Stable\Extensions\kneggodalbcmgdkkfhbhbicbbahnacjb [2016-05-11] 2016-07-20 07:01 - 2016-07-30 16:28 - 00000000 ____D C:\WINDOWS\filter 2016-07-20 07:01 - 2016-07-20 07:01 - 00000000 ____D C:\Users\nikza\AppData\Local\Вoйти в Интeрнет 2016-07-20 07:01 - 2016-01-12 18:04 - 00059896 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\netfilter2.sys 2016-07-20 07:00 - 2016-07-30 16:54 - 00000000 ____D C:\Users\nikza\AppData\Local\SearchGo 2016-07-20 07:00 - 2016-07-20 07:00 - 00000000 ____D C:\Users\nikza\AppData\LocalLow\SearchGo 2016-07-20 06:59 - 2016-07-20 06:59 - 00000000 ____D C:\Program Files (x86)\filter 2016-07-20 06:57 - 2016-07-20 06:57 - 00000000 ____D C:\Users\nikza\AppData\Local\Поиcк в Интeрнете 2016-05-11 13:47 - 2016-07-27 06:05 - 00000000 ____D C:\Users\nikza\AppData\Local\fupdate 2016-05-11 13:45 - 2016-07-30 23:03 - 00000000 ____D C:\Users\nikza\AppData\Local\svshost 2016-05-11 13:42 - 2016-05-11 15:41 - 00000000 ____D C:\Users\Все пользователи\KRB Updater Utility 2016-05-11 13:42 - 2016-05-11 15:41 - 00000000 ____D C:\ProgramData\KRB Updater Utility C:\Users\nikza\AppData\Local\Temp\27EB.tmp.exe C:\Users\nikza\AppData\Local\Temp\335.tmp.exe C:\Users\nikza\AppData\Local\Temp\3F3D.tmp.exe C:\Users\nikza\AppData\Local\Temp\506A.tmp.exe C:\Users\nikza\AppData\Local\Temp\71FB.tmp.exe C:\Users\nikza\AppData\Local\Temp\7D74.tmp.exe C:\Users\nikza\AppData\Local\Temp\exereader.exe C:\Users\nikza\AppData\Local\Temp\i4jdel0.exe C:\Users\nikza\AppData\Local\Temp\i4jdel1.exe C:\Users\nikza\AppData\Local\Temp\KBA862EF0E3DAA674B.exe C:\Users\nikza\AppData\Local\Temp\KBD9287870676C9E35.exe C:\Users\nikza\AppData\Local\Temp\lPeVJLJ5pG22.exe C:\Users\nikza\AppData\Local\Temp\mini_installer_new.exe AlternateDataStreams: C:\ProgramData\TEMP:69D4A686 [125] AlternateDataStreams: C:\Users\Все пользователи\TEMP:69D4A686 [125] Task: {CA51C0FA-98BD-412E-9BA7-22AAB85A7A77} - \Microsoft\Windows\SystemRestore\FreeVPN -> No File <==== ATTENTION Task: {8A0269BD-F67F-4544-98AF-B72222CDC79D} - \Browser Updater Task(Core) -> No File <==== ATTENTION Task: {6DF6D71E-A9E4-491F-A8C3-182CD80561E0} - \Soft installer -> No File <==== ATTENTION Task: {644C2F0B-9D70-4F39-AE74-3DEAF5B7A99B} - System32\Tasks\WinTsks => C:\Program Files (x86)\WinTsks\WinTsks\WinTsks.exe <==== ATTENTION Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание, что будет выполнена перезагрузка компьютера.
О, открылась тема...
Да, еще успел загрузить в базу чистых файлов AVZ!!! Как убрать?
Результат загрузки
Файл сохранён как 160803_103100_virusinfo_files_SALUT_57a19db48b7d2. zip
Размер файла 153980997
MD5 182543abf788c561fc159f664349e8bc
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
пока все нормально, проблема не проявляется, машина забегала быстрей.
Проблема возникла из-за ручек или антивирус ее пропустил?
Спасибо.
Скорее ручки )
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо за помощь.
- - - - -Добавлено - - - - -
только что попытался сам установиться "морской бой". Так он еще и установился
C:\Users\nikza\AppData\Local\4tools\Games\Морской Бой"
Сделайте лог AdwCleaner
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Днем удалил. А сейчас перезагрузил комп и он опять установился. Лог с заново установленным морским боем.
Отметьте и удалите все найденное
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
удалил. Наблюдаю?
Сегодня в 13.40 Морской бой (от RBC Games) снова установился, причем UAC включен на полную, компьютер никто не трогал.
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ваши права в разделе
Ответить с цитированием
